Mākoņa likums un ģeneratīvais mākslīgais intelekts: kurš īsti izlemj, kur jūsu dati glabājas?
Jūs ielīmējat konfidenciālu dokumentu lietotnē ChatGPT vai Copilot. Līguma melnraksts, rezervju tabula, stratēģiska piezīme. Šovakar šis dokuments atrodas Amerikas serverī. Un Amerikas tieslietu sistēma var tam piekļūt, pat ja tas fiziski tiek glabāts Eiropā. Tam ir nosaukums: Mākoņdatošanas likums.
Esmu redzējis vadītājus atklājam šo realitāti sarunu vidū. Par vēlu, lai aktualizētu jautājumu par mitināšanu. Datu suverenitāte nav IT nodaļas atbildība; tas ir vadības lēmums, tāpat kā bankas vai apdrošināšanas sabiedrības izvēle. Lūk, kāpēc un, vēl svarīgāk, kas jādara.
Mākoņa likums, likums, kuru neviens neizlasa pirms dokumenta ielīmēšanas tērzēšanas robotā.
Galvenie secinājumi
- Mākoņdatošanas likums (2018. gads) ļauj ASV varas iestādēm pieprasīt datus, ko glabā jebkurš pakalpojumu sniedzējs, ievērojot ASV tiesību aktus, pat ja tie tiek glabāti Eiropā, par to jūs nebrīdinot. Tas skar ChatGPT, Copilot, Gemini un Claude.
- GDPR 48. pants principā iebilst pret šādu izpaušanu, taču tieši jūsu uzņēmums kā datu pārzinis ir atbildīgs par nelikumīgu pārsūtīšanu: līdz 20 miljoniem eiro vai 4 % no globālā apgrozījuma.
- 2026. gada 17. aprīlī Eiropas Komisija piešķīra savu suverenitātes mākoņpakalpojumu līgumu (180 miljoni eiro, 6 gadi) četrām Eiropas grupām — jo īpaši OVH, Scaleway un STACKIT —, pamatojoties uz suverenitātes atsauces ietvaru (SEAL), ko var atkārtoti izmantot jebkurš uzņēmums.
- Ēnu mākslīgais intelekts ir milzīgs: 61% darbinieku izmanto mākslīgo intelektu, izmantojot personiskos kontus; 54% nedeklarētu rīku ir ieguvuši sensitīvus datus.
- Trīs vadības lēmumi: klasificēt datus pēc sensitivitātes, rezervēt suverēnu vai lokālo tīklu stratēģiskiem datiem (Mistral, SecNumCloud mitināšana, izvietošana uz vietas) un atstāt arbitrāžas tiesības izpildkomitejas ziņā.
Ko teksts saka, bez žargona
ASV Kongress 2018. gada 23. martā pieņēma Likumu par datu likumīgu izmantošanu ārzemēs. Tas groza 1986. gada Saglabāto komunikāciju likumu un atrisina ilgstošu FBI problēmu: kā iegūt datus, ko amerikāņu uzņēmums glabā ārzemēs, neizmantojot starptautiskās savstarpējās juridiskās palīdzības lēnās procedūras.
Atbildi var apkopot vienā teikumā: ASV varas iestādes var pieprasīt pakalpojumu sniedzējam, uz kuru attiecas ASV tiesību akti, nodot datus, kas tam ir vai kurus tas glabā, neatkarīgi no tā, kur šie dati tiek glabāti. Serveris Frankfurtē, datu centrs Parīzē, mākoņreģions "Rietumeiropā": tam nav nozīmes. Svarīga ir pakalpojumu sniedzēja juridiskā valstspiederība, nevis iekārtu ģeogrāfiskā atrašanās vieta.
Divi galvenie punkti, kas visu maina. Pirmkārt, procedūra neietver attiecīgā uzņēmuma informēšanu: jūs nekad neuzzināsiet, ka jūsu datiem ir piekļūts. Otrkārt, darbības joma ir plaša: Amerikas uzņēmumi, to meitasuzņēmumi un, iespējams, jebkurš ārvalstu uzņēmums ar ievērojamu komerciālu klātbūtni Amerikas Savienotajās Valstīs.
ChatGPT, Copilot, Gemini, Claude: tā pati sistēma
OpenAI, Microsoft, Google un Anthropic ir uzņēmumi, kas reģistrēti saskaņā ar ASV likumiem. Tāpēc to ģeneratīvie mākslīgā intelekta asistenti — ChatGPT, Copilot, Gemini un Claude — ir pakļauti Mākoņdatošanas likumam, pat ja tie piedāvā Eiropas mitināšanu. Īrijas datu centrs, ko pārvalda ASV uzņēmums, joprojām ir ASV tiesu jurisdikcijā. Tas ir pats ekstrateritorialitātes princips: likums seko uzņēmumam, nevis serverim.
Praktiski katrs e-pasts, kas satur jūsu klientu failus, informāciju par cenām, pētniecības un attīstības darbu vai darbinieku personas datus, ir datu pārsūtīšana subjektam, uz kuru attiecas ārvalstu tiesību akti. Jūsu dati pārvietojas tālāk nekā jūs. Un tam nebija nepieciešama jūsu piekrišana.
GDPR nosaka jūs par datu pārzini, nevis jūsu piegādātāju.
48. pants — drīzāk teorētiska nekā praktiska slēdzene
Eiropas tiesību akti šo problēmu nav ignorējuši. GDPR 48. pants nosaka, ka trešās valsts iestādes lēmums, kas pieprasa personas datu izpaušanu, var tikt atzīts tikai tad, ja tas ir balstīts uz starptautisku nolīgumu, parasti savstarpējas tiesiskās palīdzības līgumu. Tomēr Mākoņa likums ir vienpusējs ASV likums, nevis līgums. Jau 2019. gadā Eiropas Datu aizsardzības kolēģija (EDAK) un Eiropas Datu aizsardzības uzraudzītājs (EDAU) savā kopīgajā analīzē secināja, ka pieprasījums, kas balstīts tikai uz Mākoņa likumu, nav uzskatāms par derīgu pamatu datu pārsūtīšanai.
Tādējādi amerikāņu piegādātājs saskaras ar diviem pretrunīgiem tiesiskajiem rīkojumiem: vai nu pakļauties amerikāņu tiesnesim un pārkāpt GDPR, vai arī atteikties un riskēt ar sankcijām Amerikas Savienotajās Valstīs. Uzminiet, kurā virzienā noslīdēs uzņēmums, kura galvenā mītne, vadība un lielākā daļa ieņēmumu ir no Amerikas Savienotajām Valstīm.
Šrems II, Meta: rēķins par citiem jau ir apmaksāts
Šī spriedze neaprobežojās tikai ar akadēmisko vidi. 2020. gada 16. jūlijā Eiropas Savienības Tiesas lēmums Schrems II lietā atzina Privātuma vairogu par spēkā neesošu, pamatojoties uz to, ka Amerikas novērošanas programmas negarantē aizsardzību, kas ir līdzvērtīga Eiropas tiesību aktos paredzētajai aizsardzībai. 2023. gada maijā Īrijas datu aizsardzības iestāde piesprieda Meta 1,2 miljardu eiro sodu par nelikumīgu personas datu pārsūtīšanu uz Amerikas Savienotajām Valstīm. Arī CNIL (Francijas Datu aizsardzības iestāde) nosūtīja oficiālus paziņojumus Francijas organizācijām, kas izmanto Google Analytics, to pašu iemeslu dēļ.
Un te ir tas, ko daudzi vadītāji nenovērtē: kā datu pārzinis, par pārsūtīšanas likumību ir atbildīgs jūsu uzņēmums, nevis OpenAI vai Microsoft. EDAK 2020. gada janvāra ieteikumos ir noteikts, ka jums ir jānovērtē jūsu apstrādātāju pakļautība ekstrateritoriālajiem likumiem un jādokumentē papildu pasākumi, tostarp šifrēšana ar atslēgām, kas nav pieejamas pakalpojumu sniedzējam. Ja tas netiek izdarīts, saskaņā ar GDPR 83. pantu var tikt piemērotas sankcijas, kas sasniedz 20 miljonus eiro vai 4 % no jūsu globālā gada apgrozījuma. Pakalpojumu sniedzējs iekasē jūsu abonēšanas maksu; jūs uzņematies risku.
2026. gada aprīlis: Eiropa balsoja ar savu maku
Ekspertu vidū šī vairs nav diskusija. 2026. gada 17. aprīlī Eiropas Komisija paziņoja par sava suverēnā mākoņpakalpojumu ietvarlīguma — 180 miljonu eiro sešu gadu laikā saskaņā ar Cloud III iniciatīvu — piešķiršanu četriem ekskluzīvi Eiropas konsorcijiem: Post Telecom ar OVH un CleverCloud, Vācijas uzņēmumam STACKIT, Francijas uzņēmumam Scaleway un Proximus sadarbībā ar S3NS, Clarence un Mistral. AWS, Microsoft Azure un Google Cloud, kas iepriekš dominēja iestāžu līgumos, nav starp tiešajiem līguma saņēmējiem.
Lai veiktu savu izvēli, Brisele izveidoja unikālu rīku: Mākoņa suverenitātes ietvaru, kas novērtē suverenitāti SEAL skalā no 0 līdz 4. SEAL-3, ko ieguva trīs no četriem uzvarētājiem, nosaka, ka nevienai ārpus Eiropas esošai struktūrai nav veto tiesību, datu piekļuves klauzulas vai tehnisku iespēju pārtraukt pakalpojuma sniegšanu. Citiem vārdiem sakot, imunitāte pret Mākoņa likumu ir kļuvusi par izmērāmu un izpildāmu publiskā iepirkuma kritēriju. Šis ietvars ir publisks — jūs varat to brīvi izmantot savos konkursos. Francija iet to pašu ceļu: "Valsts mākoņa" doktrīna, kas pārskatīta 2026. gada martā, nosaka, ka sensitīviem valdības datiem jābūt glabātiem infrastruktūrās, ko Francijas Nacionālā kiberdrošības aģentūra (ANSSI) ir sertificējusi kā SecNumCloud.
Kad Eiropas Komisija, ECB un aptuveni piecdesmit aģentūras atsakās uzticēt savu darba slodzi piegādātājiem, uz kuriem attiecas ASV likumi, šis jautājums ir vismaz jāizvirza jūsu vadības komitejā.
Tikmēr jūsu birojos: Ēnu mākslīgais intelekts
Kamēr Eiropa organizē savu digitālo suverenitāti, kas notiek jūsu valstī? Saskaņā ar YouGov pētījumu Microsoft France vajadzībām (2026. gada janvāris, 657 vadītāji un izpilddirektori), 80 % vadītāju izmanto ģeneratīvo mākslīgo intelektu vismaz reizi nedēļā, un 61 % darbinieku piekļūst tam, izmantojot personiskos kontus ārpus jebkādas IT sistēmas, savukārt 38 % to izmanto katru dienu. Vairāk nekā septiņi no desmit vadītājiem nav saņēmuši nekādu apmācību.
To sauc par ēnu mākslīgo intelektu (AI), un tas mīl jūsu sensitīvos datus. Netwrix 2026 ziņojumā lēsts, ka 54% no uzņēmumos atklātajiem nedeklarētajiem AI rīkiem bija pārņēmuši sensitīvus datus: pirmkodu, klientu failus un regulētus dokumentus. Netskope vidēji katrā uzņēmumā mēnesī mēra 223 incidentus, kad sensitīvi dati tiek nosūtīti uz ģenerējošajiem AI rīkiem. Un EQS Group 2026. gada privātuma barometrs to skaidri parāda: 80% organizāciju nav skaidras izpratnes par AI izmantošanu, un tikai 32% no tām, kas īsteno AI projektus, ir pabeigušas datu aizsardzības ietekmes novērtējumu (DPIA).
Veiciet aprēķinus savai organizācijai. Ja jūsu komandas ir kaut nedaudz līdzīgas Francijas vidējam rādītājam, daļa no jūsu līgumiem, HR datiem un pētniecības un attīstības jau ir nosūtīta uz serveriem, uz kuriem attiecas Mākoņdatošanas likums. Bez lēmuma. Bez pēdām jūsu... ārstēšanas reģistrsNeinformējot jūsu datu aizsardzības speciālistu.
Vai vēlaties uzzināt, kas patiesībā nāk no jūsu uzņēmuma? Viqtor® eksperti palīdzēs jums kartēt mākslīgā intelekta lietojumu un datu pārsūtīšanu.
Trīs lēmumi, kas jāpieņem — un jāpatur vadības līmenī
1. Kārtojiet datus pēc sensitivitātes
Ne viss ir vienāds. Produkta brošūru var pārsūtīt, izmantojot jebkuru rīku; jūsu klientu datubāzi, peļņas normas, pārdošanas plūsmu un pētniecības un attīstības darbu nevar. Izveidojiet vienkāršu klasifikāciju — pietiek ar trim līmeņiem: publisks, iekšējs, stratēģisks/regulēts — un balstiet to uz reālu situāciju. datu pārvaldība Kas ko var nosūtīt, uz kuru rīku un ar kādu validāciju? Bez šīs kartēšanas jebkura mākslīgā intelekta politika paliek tikai tukša cerība.
2. Jūtīgos jautājumos pieprasiet suverēnam vai vietējam
Tagad pastāv ticamas alternatīvas. Francijas uzņēmums Mistral AI apstrādā datus Eiropas serveros, kas ir ārpus Mākoņdatošanas likuma darbības jomas, piedāvājot uzņēmumu līmeņa risinājumus, kas var izmantot SecNumCloud sertificētas infrastruktūras, un Francijas Bruņoto spēku ministrija 2026. gada janvārī tam uzticēja ģeneratīvā mākslīgā intelekta izvietošanu Francijas bruņotajos spēkos. Tā atvērtā svara modeļus var izvietot pat jūsu pašu serveros: dati nekad nepamet jūsu infrastruktūru. Hostinga jomā OVHcloud, Scaleway un Outscale piedāvā Eiropas hostingu, kas ir imūns pret ASV ekstrateritorialitāti. Nedaudz mazāk sarežģīts suverēns mākslīgais intelekts ir vēlamāks par modernu mākslīgo intelektu, kas atklāj jūsu vērtīgāko aktīvu. Nesensitīviem lietojumiem ASV rīki joprojām ir lietojami, ja vien tā ir dokumentēta izvēle, ko regulē apakšuzņēmēja līgums, kas atbilst 28. pantam.
3. Saglabāt arbitrāžu Izpildkomitejas līmenī
Tas, kur nonāk jūsu dati, nav tehnisks jautājums. CIO optimizē izmaksas un veiktspēju; pakalpojumu sniedzējs pārdod savu katalogu. Neviens no viņiem nebūs atbildīgs CNIL (Francijas Datu aizsardzības iestādes), jūsu akcionāru vai klientu priekšā datu noplūdes vai nelikumīgas pārsūtīšanas gadījumā. Jūs būsiet. Lēmums par rīku jaudas un informācijas resursu kontroles līdzsvarošanu ir augstākās vadības ziņā, ko atbalsta… GDPR audits nopietnība, nepārtraukta jūsu izvērtēšana apakšuzņēmēji un partneri un dokumentēti GDPR procesi — Riskantiem mākslīgā intelekta lietojumiem ir iekļauts mākslīgā intelekta direktīvā (AIPD).
Pats jaudīgākais mākslīgais intelekts ir bezvērtīgs, ja tas liek jums zaudēt kontroli pār to, kas jūs padara vērtīgus: jūsu datiem. Šovakar īstais jautājums ir vienkāršs: vai jūsu sensitīvākie dati ir jūsu pašu vai kāda cita rīcībā?
Viqtor® palīdz atgūt kontroli: apstrādes darbību kartēšana, mākslīgā intelekta pakalpojumu sniedzēju novērtēšana, GDPR atbilstības pārvaldība no suverēnas 100 % platformas.
Bieži uzdotie jautājumi — Jūsu jautājumi par GDPR auditu
Vai Mākoņpakalpojumu likums ir piemērojams pat tad, ja serveri atrodas Eiropā?
Jā. Mākoņdatošanas likuma kritērijs ir pakalpojumu sniedzēja juridiskā valstspiederība, nevis serveru atrašanās vieta. Parīzes datu centrs, ko pārvalda amerikāņu uzņēmums vai tā meitasuzņēmums, joprojām ir pakļauts amerikāņu noteikumiem. Tikai likumīgi Eiropas pakalpojumu sniedzējs bez jebkādas amerikāņu kontroles strukturāli izvairās no šīs ekstrateritorialitātes.
Vai ChatGPT vai Copilot izmantošana ir nelikumīga saskaņā ar GDPR?
Nē, ne pats par sevi. Taču personas datu apstrādei ir nepieciešams datu apstrādātāja līgums, kas atbilst 28. pantam, datu pārsūtīšanas riska novērtējums (pēc Šremsa II lietas), papildu pasākumi, ja nepieciešams, un datu aizsardzības ietekmes novērtējums (DPIA) augsta riska lietojumiem. Pārkāpumu rada tieši neregulēta lietošana — ēnu mākslīgais intelekts —, nevis pats rīks.
Kas ir atbildīgs nelikumīgas pārsūtīšanas gadījumā: mans uzņēmums vai mākslīgā intelekta pakalpojumu sniedzējs?
Jūsu uzņēmums kā datu pārzinis ir atbildīgs par savu apakšuzņēmēju izvēli un datu pārsūtīšanas likumības nodrošināšanu CNIL (Francijas Datu aizsardzības iestādē). Piegādātājam ir savi pienākumi, taču tie neatbrīvo jūs no atbildības: sodi saskaņā ar GDPR 83. pantu galvenokārt attiecas uz pusi, kas nosaka apstrādes mērķus un līdzekļus.
Kas īsti ir suverēns mākslīgais intelekts?
Mākslīgais intelekts, kura pakalpojumu sniedzēju, mitināšanu un pārvaldību regulē tikai Eiropas tiesību akti: Eiropas uzņēmums, serveri atrodas ES un neviena ārpus Eiropas esoša vienība nevar piekļūt datiem. Mistral AI ir veiksmīgākais Francijas piemērs. Nākamais līmenis ietver atvērtā svara modeļa ieviešanu jūsu pašu infrastruktūrā: dati nekad nepamet jūsu telpas.
Vai šifrēšana ir pietiekama, lai pasargātu mani no Mākoņlikuma?
Tas palīdz, bet tikai ar vienu stingru nosacījumu: šifrēšanas atslēgas paliek nepieejamas pakalpojumu sniedzējam. Šis ir galvenais tehniskais pasākums, kas atzīts EDAK 2020. gada janvāra ieteikumos. Tomēr, izmantojot ģeneratīvo mākslīgo intelektu, šī aizsardzība nedarbojas: lai apstrādātu jūsu uzvedni, modelim ir jānolasa jūsu dati vienkāršā tekstā. Šifrēšana aizsargā krātuvi, nevis secinājumus.
Ar ko man sākt regulēt ģeneratīvā mākslīgā intelekta izmantošanu savā uzņēmumā?
Process sākas ar sākotnēju novērtējumu: kuri rīki faktiski tiek izmantoti, kas tos izmanto un ar kādiem datiem. Pēc tam seko klasifikācija pēc sensitīvitātes, lietošanas harta, validētu rīku (suverēnu rīku sensitīviem datiem) izvēle, apstrādes reģistra atjaunināšana un datu aizsardzības ietekmes novērtējums (DPIA) augsta riska gadījumos. GDPR audits, ko nodrošina tāda platforma kā Viqtor®, aptver šīs darbības, neprasot mēnešiem ilgus iekšējos resursus.